新興資安策略與實務探討:以零信任(Zero Trust)為例

作者: 李啟榮 發佈時間:2021-09-08
產業分類: 資訊安全
文章分類: 經營策略
文章標籤: 資訊安全
瀏覽人數:63

 

隨著連網裝置的型態、存取途徑愈來愈多元化,組織內外的使用者和「信任裝置」的管理也日益複雜,導致惡意使用者以冒用信任使用者,或以信用裝置為跳板,來入侵組織核心系統造成破壞;有鑑於此,組織應推定未受認證的裝置和使用者均不可被事先信任,來預防以信任使用者/裝置為掩護的潛在威脅。

 

零信任策略背景

近期因應COVID-19疫情的居家上班(Work from home, WFH)趨勢,使得部分組織和企業員工「攜帶自己的裝置(Bring your own devices, BYOD)」需求增加,藉由使用員工習慣操作的自身裝置來提升工作效率、減少企業購置裝置成本;但因為員工自身裝置多元化,缺乏組織統一安全規格列管,就算員工能確實依照組織資安政策行事,也有可能會暴露裝置端的安全風險,而被惡意第三方利用為跳板與突破口。

 

零信任策略概說

零信任顧名思義,就是將未知、未經認證的人員與裝置,皆推定為不受信任的狀態,來阻絕大部分第三方惡意威脅來源;而零信任也要藉由建立信任管控配套措施,來授權合法裝置和使用者,存取組織內部的關鍵核心系統,並確保受信任使用者和裝置,與組織安全規範高度一致。

實施零信任策略的組織,可因應威脅和使用者權限的平衡,來制定彈性化的安全政策,以同時保障使用者合法存取和核心系統安全性;而組織列管的信任裝置和人員,也能藉由安全政策妥善管控,來預防人員疏失和系統缺陷,暴露更多的漏洞給惡意第三方利用。

 

小結

由於零信任策略使組織和業主,能有效控制轄下裝置安全性與人員權限管控,除組織內部網路需要零信任策略加以保障外,也會進一步用於內外網段安全管理、整合縱深防禦策略,將信任管控的對象,從組織成員和裝置延伸到組織外成員及裝置,要求組織外成員和裝置同樣遵守組織安全規範,才能存取和使用組織提供的各項服務,保障組織內部安全和組織外的使用權益。

 

 

 

參考來源:

 

  1. (2021). Zero Trust | Revolutionary approach to Cyber or just another buzz word? Retrieved from Deloitte: https://www2.deloitte.com/content/dam/Deloitte/de/Documents/risk/deloitte-cyber-zero-trust.pdf